图标
0
购物车结算
图标
面向下一代的移动数字化校园
作为网络信息化的先行者,高教行业一直是无线移动网络的创新应用者和推动者。
无线作为网络接入技术,在校园网的定位经历了“探索-规模建设-主流模式”的九年发展历程,时至今日,全国高教行业规模部署无线校园网的院校比例已经超过10%,而新入校的学生中笔记本电脑的普及率已经近乎100%。面对如此旺盛的需求,各大高等院校都已将无线网络作为未来3-5年内重点发展的网络接入模式。如同当初建设和优化有线网络一样,越来越多的高校开始逐渐的将数字化校园变成移动数字化校园。
作为专注于教育行业的主流网络设备与解决方案供应商,锐捷网络在这九年的历程中,参与建设了大量的无线校园网。我们看到,很多客户在建设无线校园网时,其筹划思路在很大程度上受限于传统的有线网络的理解。或是源于浪潮,或是先建后规划,完全从需求出发而严谨的规划无线校园网络的仍不在多数。
现在,如果有新的校园想要部署无线,锐捷网络的建议将是,直面你的校园业务需求,让无线服务于你的各种业务。
的确,在经历了两个五年计划的建设和发展,我国大多数高校的信息化已经逐步实现了手工作业向电子化、无纸化办公的全面转变,高校的信息化网络已经成为教学、科研、工作、生活的重要支撑平台,作为校园信息化的核心部分―校园网络,也经历了从单纯的“钢筋混凝土建设”,到越来越以应用服务为导向的复合性网络架构的转变,而无线网络也是顺应这一趋势而崭露头角。
纵观整个高教行业无线发展历程,可以分为三个阶段:
高教无线网络发展历程图
第一阶段:填补空白时代
这个阶段之所以称之为“填补空白时代”,是因为用户对于无线还处于懵懂的初步接受状态。选择无线网络产品或是规划校园无线网络时常问的问题就是“速度快不快?信号覆盖有多远?能穿几堵墙?会不会对人体有辐射的危害?”。的确,在这个时代,人们更关心的是,如何能通过无线来上网,体验到无线上网的好处,因此信号覆盖能力、上网速度、障碍物穿透能力、发射功率与衰减情况这类偏物理层、链路层的技术、指标,往往是大家最关心的问题,这个时期的校园无线网络的规模并不大,基本也只是应用在一些教师办公室、会议室等环境,还不足以上升到需要考虑更复杂的问题,这个时代,有无线就好,考虑太多似乎也没有必要。
第二阶段:技术驱动时代
时光冉冉,无线网络在高教信息化就这么一路走来,终于过渡到了第二个阶段,称之为“技术驱动时代”,并一直延续到了2008年。
这是一个无线技术飞速发展、应接不暇的时代,胖AP、瘦AP、全网管理、射频调整、统一认证/计费、基于身份的安全、基于数据流的QoS、基于带宽的均衡分配等等,江湖风云四起,新技术不断涌现,具备鲜明技术特征的无线设备厂商纷纷粉墨登场,百家争鸣。同时,大型无线校园网络在国内不断出现,规模记录不断刷新。可以说这个时期,走在前面的高校已经走出了探索期,开始进入了大规模的建设期,学校种类也不再局限在第一阶段的985/211高校,普通本科、高职院校也纷纷加入了热火朝天的无线校园网络的建设大军行列。
这是一个里程碑的时代,无线网络能否在高教行业一举确立其主流网络形态的江湖地位,这个时代的每一个建设案例都见证了这一传奇的诞生。在这个时代,高教的IT信息化工作者开始明白什么样的无线网络技术最适合自己,他们在大量的无线厂商、集成商、业内展会、学术交流的轮番“轰炸”中成长起来,具备了成熟的分辨力,也通过对校园网络建设的不断优化,可以不断地提出更有创新思想的点子。
第三阶段:业务驱动时代
时间终于迈进2009年,这一年注定是无线网络平步青云的时期。在以三大运营商的“3G+WLAN”的建网战略的拉动下,全社会进入了对WLAN的广泛关注期。无线网络刚出生时的懵懂期已经过去,对于很多走在前面的高教IT工作者来说,对于无线网络技术已经大致了解,无线网络下一步应该在高校信息化带来什么?未来该走向哪里?难道仅仅是继续把校园内没有覆盖的地方继续覆盖,直到整个校园都有无线网络,大家都能甩开网线,直接投入无线网络的怀抱,但这是建设无线的最终目的吗?当然不是。
其实原因很简单,因为现在的高教信息化已经今非昔比了,在数字化校园这一新的发展使命的驱动下,高教信息化正在悄然进入全新的ITIL(信息技术基础设施库)时代,解决各业务子系统信息孤岛、业务管理责权不清、缺乏标准流程管理的“救火队员”现状、重硬平台轻软平台、长期规划与短期利益目标相矛盾等瓶颈问题,已经成为高教信息化人士,甚至是高教管理层愈加重视的发展之道。
在这个时代,高校原有的重点业务将得到整合与资源协调,中间件和各资源接口的开放与规范性对处于基础网络的支撑层面提出了前所未有的挑战,在这个时代,应用为王。
这就是无线网络即将进入的全新阶段,称之为“业务驱动时代”。在这个时代,不论无线网络技术多么先进,如果不能服务于实际的应用,不能扎扎实实的提升业务的落地和效率,必将是纸上谈兵、技术论道而已。基于这种趋势的发展,高教信息化工作者们开始考虑一系列的发展方向,并开始付诸行动:
如何利用无线网络在日常会议中实现文件互传、资料随时调用?
在普通的办公室如何提供更人性化的网络办公条件?
如何满足跨办公室、跨校区的基于网络的工作汇报?
如何服务于校园应急网络通信?
如何为外来的学者、进修者甚至招聘企业提供随时随地的互联网服务?
能否真正实现实时推送的校园电子公告?
网管人员的日常网络维护能否更加灵活?
关键数据业务可否实现网路链路的冗余?
如何实现户外的虚拟图书馆?
如何服务于遍布全校的平安监控?
如何真正实现阶梯教室里也能随时获取校园网资源?
如何变成校园处处是课堂?
如何避免学生上网选课的组织难度?
能否实现新生入学的迎新流水线现场手续办理?
如何提供实时的校园活动转播?
能否为来访者提供实时虚拟电子地图服务?
如何扩大校园一卡通对流动贩卖点的管理?
如何实现校园电话运营?
如何利用校园商业视频资源扩大运营收入?
……
类似的话题似乎说也说不完。这的确是一个令人热血沸腾的蓝图。
所以说,从现在起,无线网络在校园将真实的步入其成熟发展期,因为业务驱动的存在。在信息化发展进程中暴露出来的问题,纵观全国高等院校均普遍存在。这些问题并不是在网络基础化建设阶段暴露出来的,而是随着高校的各项教学、科研、工作、生活水平的不断提高,不断地对信息化网络如何跟上这种提高而提出的。
经过多年的建设,大多数高等院校的网络信息化水平已经具备相当高的水平,已经不存在与现有各项业务应用的配合问题。但是业务应用永远在变化、在优化,网络信息化必须以更快的步伐发展,以先于业务应用发展的速度来发展,才能不断地驱动各项业务应用的顺畅发展和优化。而作为新型网络架构身份出现的无线网络,在这一转变中当然首当其冲,备受关注。这些不断优化和新诞生的应用,已经对传统网络悄悄提出了无法完成的挑战。从这个角度而言,是业务的需求已经逐步成熟,反过来在呼唤网络信息化的快步跟上,迎合这种已经逐步到来的新兴应用的发展。
我们需要一个怎样的无线校园网
任何技术要想在行业中扎根下来并大放异彩,唯一的生存与发展之道就是贴近应用,服务于应用。
作为一张可移动的校园网络,无线网络的确有着与传统的有线网络太多的不同,但究其本质二者并不互斥。在传统的有线网络中所倡导的安全、管理、运营、架构等主要关注点,同样也是校园无线网络最重要的核心内容。为了更高效率的支撑各项主要业务应用,校园无线网络的解决方案之道,正在于此。
高性能、高稳定性的智能无线组网架构
传统的自治型无线接入点(胖AP)架构中,每个无线接入点都是一个独立的管理与工作单元,无法进行任何沟通,如果需要对全网设备进行管理,需要逐台进行配置和管理,不仅费时、费力、维护成本高,而且所有的无线网络设备无法形成一个整体,也就无法具备整体协作的安全防御能力,最终导致整个网络的融合性差。
锐捷网络已经在三年前在教育行业率先推出的“智能无线交换架构”,已经经过三年的各大院校的实践应用的检验。这种创新性的架构,通过无线交换机MX系列产品的控制,无线接入点可具备根据不同用户、不同应用类型、不同VLAN等方式来决定数据流量是否需要全部集中流经无线交换机,对于FTP、视频点播这类大量占用网络资源且安全性要求较低的应用,可以直接通过本地有线网络进行转发,而对于教务系统、考试系统、身份认证系统这类安全性要求高的应用,则可以将流量通过加密隧道送到无线交换机,防止加密数据在有线网络传输中的被非法用户窃取。
这样不仅可以保持原有的无线交换机架构解决方案的优势,更可以根据网络的实际情况将时延敏感、流量较大的数据流分离到有线网络直接处理,将管理控制报文、安全控制要求高的报文送交无线交换机处理,避免无线交换机成为数据转发的瓶颈。
同时,这种架构可以确保无线网络承载业务的高稳定性。无线交换机产品通过支持集群和冗余能力,可以实现多台无线交换机对同一个无线接入点提供服务。由于无线交换机之间采用了虚拟化技术,可实时的实现AP与用户的在线信息同步,如果一台无线交换机出现宕机,与其控制的无线接入点失去联系,那么将另一台或者多台无线交换机将立即接管这些无线接入点。在这个过程当中,用户不会掉线,并且仍然保持正常通信状态。
如果是一台无线接入点发生故障,无线交换机可支持自恢复功能,通过快速查询该故障无线接入点邻近的无线接入点,调节其工作功率、信道等参数来接替该故障无线接入点的用户接入工作,迅速补充盲点,并实时向网络中心的无线交换机汇报,通知网管人员尽快更换故障无线接入点,更换之后,无线交换机将原先的配置信息下发到新的无线接入点上,邻接的无线接入点的射频参数调节恢复成原有状态,接替工作结束。在这整个切换期间,对用户的访问完全没有影响。因此,这种冗余特性将极大的保证了整网工作的可靠性。
同时,无线接入点支持双以太口上联,即一台无线接入点同时能连接到接入交换机的2个端口上,当无线接入点的一个以太口与其中交换机的一个端口出现故障时,另一个以太口会按照先前设置的BIAS值切换到另一台交换机上,而这个切换过程对于用户来说是透明的。
除此之外,无线交换机支持同时对应多台RADIUS服务器,能够设置RADIUS组群来实现服务器之间的冗余和负载均衡。当网络某一时刻的认证请求数过多造成某台RADIUS服务器宕机,这时组群会按照当前的RADIUS服务器的负载状态指定一台备用服务器来响应用户认证请求。
永不中断的移动访问
无缝漫游是无线网络移动性的最佳体现。但是传统的无线接入点仅仅能够实现基于二层的漫游,一旦无线用户跨越网段,就会由于重新获取IP地址、重认证、重新验证加密等过程,而导致漫游的失败和通信的中断。这对于无线用户众多的学校而言,是无法接受的。
锐捷网络智能无线交换架构,由于所有用户信息并不保存在本地的无线接入点中,而是全部更新在无线交换机上,因此无论是单台无线交换机还是多台无线交换机的集群体,包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时共享的,即便是无线用户跨网段移动,由于还是处于一台或多台无线交换机的控制下,所以还是会延续原有的IP地址、认证与加密方式,因此也不会中断连接。实现这一过程,并不需要有线网络的参与,对有线网络和无线用户而言都是透明的。所以,这种三层漫游技术对于延迟敏感的语音业务有重大的意义。
丰富而强大的全网智能管理
无线网络生命周期的管理
有线网络的管理侧重与对网络设备和用户的管理,而无线网络的管理除了对设备和用户的管理外,更强调的是对无线网络生命周期的管理,这其中包含了建设前的射频规划管理,建设中的射频优化管理以及无线网络建成后的设备运行状态管理。
对于习惯了使用SNMP软件管理有线网络的网络管理员来说,尝试管理一套无线网络的确是个不小的挑战。怎样布放AP会达到最好的效果?如何判断无线网络的射频环境有没有干扰?如果网络中有无线攻击现象,该怎么解决呢?……这些问题都将会出现在网络管理员面前。
如何通过一种简单的工具或者方法来配置和管理无线网络,是网络管理员最需要的。锐捷网络“面向无线网络生命周期”的管理系统强调无线网络生命周期的管理,涵盖了无线网络的规划、部署、优化、监测和报表五大方面。
无线射频规划
在无线网络的初期规划阶段,确定AP的安放位置是一件工作量巨大且需要专业人员从事的工作。以往通常是由专业的无线网络规划人员对安装现场进行详细的实地勘察,并在重点区域架设测试设备以确定AP的具体安放位置和数量。由于此项工作耗时耗力且大量依赖于经验数据,对于规模较大并且楼栋较多的无线网络项目来说,计算出AP的数目可能会与实际需求数量产生比较大的差异。
智能无线交换解决方案能够提供对覆盖区域的3D软件仿真,通过向仿真软件中导入建筑物CAD图和相应的建筑参数,仿真程序能够自动计算出覆盖区域的AP数量和具体安装位置,同时生成信号覆盖的热敏图。
“一键式”配置
为了提高网络管理员管理无线网络时的便利性,锐捷网络智能无线解决方案中提供了三种配置方法:命令行、web界面管理和RingMaster网管软件,其中RingMaster网管系统是三种管理方式中最强大也是最专业的一种,并且提供了全图形化的操作界面。
管理员配置无线网络时,无需单独对每个设备的功能和性能参数进行设置和调整,只需要选择好相应的配置模板,由配置模板的向导来指导管理员的操作。配置完成后,网管软件会自动对配置进行检查和检验,在确认无误的情况下,提供用户确认配置并将配置参数下发到所有的无线交换机和AP中。
多维度的状态监控
锐捷网络智能无线交换解决方案中的无线监控组件,让用户直观了解网络部署情况及设备和链路的当前状态。它可根据不同的维度进行分类显示,实时的提供网络运行中的各方面参数。
通过RingMaster网络管理平台,管理人员可以对移动终端的信息进行查看,包括用户名、IP地址、MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在无线交换机、所在AP设备等,并能查看各移动终端的全部漫游记录,可以随时了解最终接入用户的情况,并对其接入轨迹进行审计。
此外,RingMaster提供服务策略和射频策略的管理,通过模板的方式对设备进行批量管理,使用户快速完成网络配置。策略模板除手工添加外,还提供从文件导入和设备导入功能,用户可以从系统导出或导入模板,也可从某一标准配置设备上导入配置形成模板,下发到其它设备,完成策略的批量下发功能,极大地减少用户的维护工作量,降低维护成本。
对于无线校园网,射频环境的优劣将直接影响无线网络的稳定性和链路带宽的品质,因此,对全校需要覆盖的区域实时的射频环境监测是保证网络稳定可靠的基石。
锐捷网络的无线交换机支持先进的智能化无线电射频监测和调控能力,这种强大的射频监测能力不仅表现在对大规模无线网络的后期管理工作中,即便是在初次安装无线网络时,网管人员也可以在网络中心机房,通过无线交换机来自动调节整网所有无线接入点的射频参数,比如频率、信道、功率等。无线接入点之间会自动协调射频参数,直到相邻的无线接入点之间达到最优无线电射频运行环境,并把最终调整结果返回给无线交换机。
精细化的负载均衡
在锐捷网络的智能无线交换体系中,负载均衡是体现“智能”的重要指标。一般无线网络的负载均衡包含两个层面:用户的负载均衡和AP的负载均衡。
在用户的负载均衡方面,由于受到客户端无线网卡底层驱动算法机制的限制,用户总是会连上信号最强的AP,而并没有考虑到该AP是否能够提供最佳的服务。锐捷网络无线交换机可以根据周围无线信号覆盖情况以及用户的流量需求,动态的将用户迁移连接到其他可用AP上,将用户流量分配到其他可用AP,从而保证了整个无线网络的高效能和高可用度。例如在一个用户较多的会议室,正常情况下大约有15人左右,采用一个AP即可满足需求,但当用户数突然增加后,导致该AP无法连接数过多,而此时,位于会议室外的AP由于相对于会议室来说,信号虽然比较弱,但仍然是可以满足一定的网络用量,此时无线交换机则强制后来的一部分用户连接信号较弱的AP,从而实现了负载均衡,保障了网络的畅通。
在AP的负载均衡方面,通过无线交换机的集群配置,当集群中增加无线交换机时,集群中所有AP会根据各个无线交换机上注册的AP数量,进行AP的负载均衡,如图所示:
当增加新的AP时,新AP立刻根据集群中的各个无线交换机的AP负载情况,负载均衡到所有能够提供资源的无线交换机上,如图所示:
定制化的日志报表输出
公安部第八十二号令中规定,“互联网提供者必须记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施。”
网络由于其物理特性,无法实现像有线网络一样对接入用户进行IP、端口和MAC地址的绑定,以及对用户的上网行为进行一对一的监察。因此,管理员对无线用户的访问历史进行记录和查询提出明确的需求。
RingMaster网络管理平台具有长达30天的日志报表记录功能,并能提供个性化的日志记录和报表输出,例如对用户上网时间、IP、MAC地址、访问地点、漫游情况进行全程记录,对无线网络设备的运行状态、端口流量、系统负载进行报表输出。
精细化的带宽控制和QoS策略
通过无线交换机的全局控制,可以轻松地实现对每一台无线接入点的上行带宽、甚至每一个用户带宽的控制。同时,针对不同的用户业务类型(如语音通信),无线交换机可以集中设置定义不同的QoS队列,比如将SIP和RTP协议可设定在高的队列,而一般应用如HTTP、FTP则可设定在较低的队列。这样将对于语音、视频等对时延敏感的业务,将可以得到最佳的带宽与传输质量保证。
安枕无忧的移动化校园网
安全策略的集中实现
智能无线交换解决方案在安全方面可分为四个方面:
1、合法用户的安全准入:判断用户身份是否合法,可通过无线交换机内置的身份认证系统来实现。
2、合法设备的安全准入:用户虽然合法,但是合法设备如果代理一台外来的设备入网,该设备可能带来入侵和安全隐患。无线交换机可比对用户设备的合法性,比如IP和MAC地址等,来保证合法设备的安全。
3、合法网络的安全准入:合法的无线网内,经常存在用户私自搭建小无线网,并对用户提供非法服务,通常表现为私自搭建SOHO无线局域网,并接入在有线网络端口。由于SOHO设备缺乏足够的安全功能,无形中将网络范围扩大,很有可能带来安全隐患。无线交换机能够提供240种入侵检测与防护规则来发现和屏蔽非法AP,必要时可采取反制行为。
4、合法射频环境的安全准入:情景同第三种,非法的AP占用合法的无线信道,必然会影响合法AP的正常工作,无线交换机扫描到这种情况后,立即上报网管平台,管理员通过网管可以定位到非法设备的物理位置,并进行现场排查、消除隐患。
无线网络入侵检测
无线网络由于使用空中的无线电射频信道工作,因此基于无线网络的入侵防护显得尤为重要。这其中包括非法无线接入点的防范与非法用户连接访问的防范。
非法无线接入点一旦进入无线接入点的扫描范围内,立即会被无线交换机识别为Rouge设备,并根据当前安全策略的等级实施无线反击。
另一种重要威胁是非法无线用户对合法无线接入点的入侵。互联网上可以轻易地下载到很多无线入侵和攻击工具,而原先传统的无线接入点设备均都没有侦测无线入侵的功能,所以当受到像无线DDOS攻击时,就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击将会导致用户的无线连接断线,但网管人员却无法在第一时间得到报警。利用锐捷网络的active-scanning技术,可以实时检测异常的无线数据包,当无线系统侦测出有入侵时,它会记录和显示入侵的模式,并对入侵做出自动保护响应和报警,并提醒网管人员注意并提示相应的解决措施。
病毒入侵防护
对无线终端的病毒防护可分为无线终端的准入检查和对无线终端发出数据进行有效的检查。
当无线终端试图访问网络,在该用户认证之前,需要下载一个基于JAVA的程序,可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况,如果不能通过检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台升级服务器,打系统补丁、安装防病毒软件和升级病毒定义码,满足系统制定的安全策略以后,该无线终端才可以进入认证环节进行用户的认证。
通过了准入检查后,如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。通过和第三方的防病毒厂家合作,锐捷网络的无线交换机可以允许设定安全策略,对于某些用户以及某些可能沾染病毒的数据,将其重定向到防病毒设备上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃。
